内容安全策略

Question

我正试图在我的站点上实现CSP，经过一些研究，我发现大多数站点没有实现它，或者实现非常薄弱。

我还看到CSP的实现类似于HSTS，您需要插入一些CSP标记来实现它。

所以我的问题是：

• CSP是网络安全的最低要求吗？
• CSP对SEO的影响是什么？

Answer 1

当然，在没有内容的情况下运行一个安全的网站是可能的-安全策略。然而，有一些理由是有道理的：

• 首先，如果您合理地严格地配置它，就有可能造成某些安全问题，比如跨站点脚本攻击，更难或几乎不可能。这通常需要消除内联脚本并限制外部脚本仅从受信任的域加载。
• 如果您宿主用户生成的内容，例如用户生成的SVGs，您可能希望避免将该内容用作脚本源或通用攻击平台。由于从带有适当CSP的域加载的文档(包括SVGs)无法使用JavaScript，您可能会觉得托管它们更舒服。
• 更广泛地说，您还可以要求您的页面仅在HTTPS上运行，因为健壮的CSP头将拒绝加载外部资源的非安全源。因此，通过HTTP意外加载的页面将没有图像、脚本和功能表单。虽然这将是一个糟糕的用户体验，但在这种情况下，您至少可以避免许多安全问题。

我要说的是，现在，在2021年，补充一个是最好的做法。许多站点不这样做，但是因为CSP头确实为各种各样的问题提供了深入的防御，所以增加一个是谨慎的。我没有知识或兴趣SEO，所以不能与它说话，甚至它是关于主题。